به‌روزرسانی

کشف حملات فعال بر روی آسیب‌پذیری CVE-2018-11776 چارچوب Apache Struts 2

پس‌ازآنکه هفته گذشته محققی در حوزه امنیت یک آسیب‌پذیری در Apache Struts که یک بخش از چارچوب‌های طراحی نرم افزارهای سازمانی است کشف کرد ، تلاش‌ها برای سوءاستفاده از این آسیب‌پذیری در هفته جاری آغاز شد. آسیب‌پذیری موردنظر (CVE-2018-11776) به‌عنوان ، یک آسیب‌پذیری اجرای کد از راه دور (RCE) است که اجازه می‌دهد تا مهاجم کنترل برنامه‌های وب مبتنی بر Struts را به دست آورد. با توجه به تجزیه‌وتحلیل Palo Alto Network  این آسیب‌پذیری به‌صورت پیش‌فرض در تنظیمات Struts غیرقابل بهره‌برداری است، اما اساساً، با توجه به اینکه Struts توسط برخی از بزرگ‌ترین شرکت‌های جهان مورداستفاده قرار می‌گیرد (ازجمله Equifax، که در سال گذشته به علت نقص Struts دچار نقض حریم اطلاعاتی شدید شده است) این آسیب‌پذیری برای همه حائز اهمیت است.

 

چندین اثبات در هفته گذشته منتشر شد

چندین محقق امنیتی با استفاده از اسکریپت‌های اثبات مفهوم (POC)، اثبات‌های مختلفی را برای CVE-2018-11776 قرار داده‌اند که شامل یک آموزش گام‌به‌گام می‌شود. دریکی از این POCs ها ابزار بهره‌برداری از Struts قرار داده‌شده است که ترکیبی از آسیب‌پذیری‌های از راه دور قبلی کد Struts است که به‌نوعی رؤیای هکرهاست را به آن‌ها می‌دهد. اما علی‌رغم انتشار بسیاری از ابزارهای هک Struts و اثبات مفهوم، حملات بلافاصله اتفاق نیفتاد.

اولین حملات

تلاش‌های فعال برای بهره‌برداری از  CVE-2018-11776 تا ۵ شهریور انجام‌نشده بود. “نخستین تلاش‌های برای بهره‌برداری از آسیب‌پذیری‌های Struts از ۶ شهریورماه انجام شد.” Matthew Meltzer تحلیل‌گر امنیتی شرکت Volexity طی یک گفتگوی خصوصی با Bleeping  Computer این اتفاق را بیان کرد. Meltzer اضافه کرد: “ما شاهد پویش و بهره‌برداری از تلاش‌های نسبتاً وسیع در سراسر مجموعه‌ای گسترده از اهداف پراکنده جغرافیایی هستیم.”

شرکت Greynoise یافته‌های Meltzer را در توییتر تائید کرد. Greynoise می‌گوید پویش و تلاش برای بهره‌برداری از این نقص از چهار آدرس IP ثبت‌شده است که کارشناسان شرکت معتقدند بخشی از یک بات‌نت هستند.

  • ۱۶۱.۲۲۵.۹۴
  • ۲۳.۸۳.۳۰
  • ۱۸۹.۲.۹۷
  • ۱۷۳.۱۴۶.۴۰

همچنین شرکت Volexity طی یک گزارش در وبلاگ خود تائید کرد که برخی از پویش‌ها از آدرس ۹۵.۱۶۱.۲۲۵.۹۴ آمده است.

Volexity در گزارشی در وبلاگش تائید کرد که برخی از پویش‌ها از جانب آدرس IP های ۹۵.۱۶۱.۲۲۵.۹۴  و ۱۶۷.۱۱۴.۱۷۱.۲۷ می‌باشند که هردوی این‌ها به‌عنوان منبع بسیاری از عملیات پویش اینترنتی هستند.

 

مهاجمان سرورها را با coinminers آلوده می‌کنند

محققان Volexity پس از تجزیه‌وتحلیل برخی از این تلاش‌ها  برای بهره‌برداری می‌گویند که قادر به مشخص کردن ماهیت دقیق این حملات بودند. این شرکت می‌گوید گروه پشت این پویش‌ها از CVE-2018-11776 برای شکستن برنامه‌های Struts استفاده می‌کند  و سروری که برای آن قرارگرفته را با یک نسخه از  CNRig cryptocurrency miner که از مخزن BitBucket دانلود شده است آلوده کرده‌اند.

در حال حاضر، در مقایسه با دیگر نوع‌های پویش برای آسیب‌پذیری، این حملات در مقیاس کوچکی هستند. تا تاریخ ۷ شهریور بهره‌برداری indiscriminate  در مقیاس وسیع هنوز مشاهده نشده است. به دلیل اینکه محققان Palo Alto Networks اشاره‌کرده‌اند که برنامه‌های Struts در تنظیمات پیش‌فرض آن‌ها نسبت به CVE-2018-11776 آسیب‌پذیر نیستند، به این معنی است که سرورهای کمی احتمال آسیب‌پذیری دارند، درنتیجه تلاش برای بسیاری از کلاه‌برداران نتیجه‌ای نخواهد داشت.

 

اعمال وصله های امنیتی آسیب پذیری های قدیمی تر Struts را جدی بگیرید.

 

مهاجمان همچنان به‌صورت فعال برای Struts های گذشته پویش انجام می‌دهند

بازخوانی فعالیت‌ها نشان می‌دهد درحالی‌که مهاجمان علاقه زیادی به CVE-2018-11776 ندارند، اما به ضعف‌های قدیمی Struts  علاقه نشان می‌دهند. ملتزر به Bleeping Computer گفت: “پس از انتشار کد PoC برای CVE-2018-11776، ما شاهد افزایش پویش برای آسیب‌پذیری‌های Struts نیز هستیم”.

اگر برای اعمال وصله های امنیتی برنامه‌های مبتنی بر Struts خود وقت نگذارید، حداقل وصله های امنیتی آسیب پذیری های قدیمی‌تر مانند CVE-2013-2251، CVE-2017-5638 و CVE-2017-9805 را اعمال نمایید.

نقص فعلی Struts (CVE-2018-11776)، Apache Struts نسخه‌های ۲.۳ تا ۲.۳.۳۴ و ۲.۵  تا ۲.۵.۱۶ را تحت تاثیر قرار داده است. تیم توسعه Apache Struts با انتشار نسخه ۲.۳.۳۵ و ۲.۵.۱۷ این مسئله را رفع کرده است.

وصله‌ها امنیتی را اعمال کنید.

 

 

کشف حملات فعال بر روی آسیب‌پذیری CVE-2018-11776 چارچوب Apache Struts 2
To Top